AWS - Private Subnet 인터넷 통신 방법

기본적으로 Private Subnet에 존재하는 인스턴스에는 AWS 네트워크 외부에서 접근이 불가능하다.

하지만, 서버를 관리하기 위해서 Private Subnet에 존재하는 인스턴스에 접근하는 것은 필수적이다.

이번 글에서는 Private Subnet에 존재하는 인스턴스에 접근하는 방법을 정리한다.

 

Bastion Host

바스티온 호스트는 퍼블릭 서브넷에 존재하는 EC2 인스턴스로 Private Subnet에 존재하는 EC2에 접근하기 위한 중간 다리 역할을 하는 인스턴스이다.

외부 사용 자는 Bastion Host로 SSH 접속을 한 후 Bastion Host에서 Private Subnet의 EC2로 SSH 접근을 한다.

Private Subnet의 보안 그룹이 Bastion Host의 접근을 허용하도록 설정 되어 있어야 한다.

 

Nat Instance

출처: AWS

NAT Instance는 EC2 Instance를 NAT용으로 바꿔 사용하는 것을 말한다.

Private Subnet <-> Internet간 트래픽 흐름에서 중간에 NAT Instance가 NAT를 수행하여 Private Subnet의 인스턴스가 인터넷과 통신할 수 있는 구조를 만든다.

NAT Instance가 인터넷과 통신을해야 하기 때문에 반드시 Public Subnet에 존재하여야한다.

NAT 서비스를 사용하기 위해 바꾸지 않는 EIP를 할당해서 사용해야하고, Route Table에 Private Subnet의 트래픽이 NAT Instance에 연결되도록 설정해주어야 한다.

NAT Gateway보다 요금이 싸기 때문에 NAT 서비스 비용이 부담될 때 고민해볼만한 서비스이다.

 

Nat Gateway

출처: 아마존

AWS 완전관리형 NAT 서비스로, 고가용성을 지원하는 NAT Gateway이다.

Elastic IP를 할당하여 사용해야 하며 특정 AZ에 생성된다.

비용이 부담되지 않는다면 가용성을 위해서 NAT Gateway를 선택하는 것이 좋아보인다.